蘑菇视频电脑版播放中弹窗我做了排查日志：结论很明确

蘑菇视频电脑版播放中弹窗我做了排查日志：结论很明确

前言 最近在使用蘑菇视频电脑版看视频时，多次出现播放过程突然弹窗、广告跳转或新标签被打开的情况。我对这一问题做了系统排查并保存了日志。下面把过程、发现和可操作的解决方法梳理清楚，方便自己回溯也方便给开发方或安全人员定位问题。

环境说明（我的测试环境）

• 操作系统：Windows 10 64 位
• 客户端：蘑菇视频 电脑版（vX.X）
• 浏览器测试：Chrome 版本 XX / Edge Chromium
• 网络：家庭宽带，路由器未做特殊转发或DNS劫持
• 工具：浏览器开发者工具（Console、Network）、Wireshark、Process Explorer、Procmon、Malwarebytes、AdwCleaner

问题重现步骤

1. 打开蘑菇视频电脑版 → 登录 → 选择任意视频播放。
2. 播放中等待 1–3 分钟，页面或客户端弹出第三方窗口，或自动跳转到推广页面；有时是底部浮层广告放大、也有直接新标签打开的情况。
3. 在浏览器中播放同一视频（直接访问网页版）也可复现，但出现频率和形式略有差异。

排查过程与关键日志（节选） 1) 浏览器无痕/禁用扩展测试

• 无痕窗口播放仍会触发弹窗，但频率下降；完全禁用所有扩展后问题依旧存在。
• 判定：并非单一浏览器扩展普遍触发。

2) Network 抓包（Chrome DevTools）

• 在 Network 过滤 “js”和“document” 后，发现播放期间额外加载了多个第三方域名的脚本和跳转请求（示例化域名如下，实际以抓包结果为准）：
• https://cdn.adpartner-example.com/push.js
• https://tracking.xyzads.net/clk?id=…
• 请求返回中包含执行新窗口打开或 redirect 到推广页面的代码片段（response 含 window.open 或 location.replace 调用）。

3) Console 日志（节选）

• Uncaught ReferenceError: popupHandler is not defined at https://cdn.adpartner-example.com/push.js:12
• DOMException: Blocked a frame with origin "https://ads.example" from accessing a cross-origin frame.

4) 本地进程与网络连接（Process Explorer / netstat）

• 发现主程序进程（Mushroom.exe）在播放时有大量短连接外发，目标 IP 与上述第三方域名对应。
• 若用系统级网络抓包（Wireshark），可看到向第三方广告域名的 HTTP 请求并伴有 302 跳转链。

5) 客户端资源检测（针对桌面客户端）

• 将安装目录中的 resources/app.asar 或 similar 资源包解包，发现嵌入了第三方广告 SDK 的调用与远程脚本加载代码片段，形态类似：
• require('remote-ad-sdk').init({…});
• webview.loadURL('https://player.mushroom.com/watch?id=…&ad=1')
• 由此可以判断客户端本身包含会动态加载远程广告脚本的模块。

安全扫描结果

• Malwarebytes、Windows Defender 扫描未发现传统意义上的木马或病毒样本。
• AdwCleaner 检测到若干与广告注入相关的可疑 PUP（Potentially Unwanted Program）条目，但移除后问题并未完全消失。
• 结合网络抓包，弹窗更像是由应用/网站主动加载的第三方广告脚本，而非传统的系统层面恶意软件独立注入。

分析与结论（结论很明确）

• 弹窗并非偶发的浏览器扩展冲突或典型系统木马在本机“劫持”页面；而是蘑菇视频电脑版（包括其网页播放模块）在播放时会加载第三方广告/推送脚本或内嵌广告 SDK，这些第三方脚本执行了弹窗、新标签跳转等行为。
• 换言之，根源在于客户端/网页端加载的外部商业化模块或 SDK，这些模块允许第三方通过脚本在播放过程中触发广告弹窗。部分情况下，系统中存在的 PUP 会放大或配合这种行为，但不是唯一原因。

可操作的修复与缓解措施 针对普通用户（无需技术拆包）

1. 临时屏蔽

• 浏览器使用 uBlock Origin 等广告拦截器，并开启静态阻止规则；在客户端无法直接安装扩展时，可在系统层面使用广告拦截器（如 Pi-hole 或路由器自定义 DNS）来屏蔽已知广告域名。

1. 修改 hosts（示例）

• 编辑 C:\Windows\System32\drivers\etc\hosts，添加如下行（以抓包得到的实际广告域为准）： 0.0.0.0 cdn.adpartner-example.com 0.0.0.0 tracking.xyzads.net
• 保存后执行 ipconfig /flushdns。

1. 卸载/清理

• 使用 AdwCleaner、Malwarebytes 清理系统中的 PUP，并检查浏览器扩展列表。
• 卸载可疑的第三方工具栏或捆绑软件。

1. 使用替代方案

• 若蘑菇视频提供无广告的付费版或官方提供的去广告客户端，优先选用。
• 暂时改用网页版或不同设备测试是否有改善。

针对有一定技术能力的用户或开发者

1. 收集证据并定位

• 导出 Chrome DevTools 的 HAR 文件、Network 捕获、Console 日志，标注触发时刻的时间戳与请求链。
• 捕获客户端进程的网络连接（netstat -ano）与进程树（Process Explorer）。

1. 检查客户端资源

• 解包 app.asar（或相应资源包），搜索包含 ad、push、tracking 关键词的代码，找出加载远程脚本的入口文件以便定位。

1. 阻断域名或在应用内屏蔽

• 在企业或家庭网关层面阻断已识别的广告域名。

1. 向开发方反馈

• 将 HAR、Console、Network 请求链和可复现步骤一并提供给蘑菇视频官方，说明弹窗可复现且来自第三方脚本加载点，便于他们修正 SDK 配置或替换广告商。

对开发方的建议（可转述）

• 审核并限制第三方广告 SDK 的行为边界，避免在播放器关键交互期间加载具有强弹窗能力的脚本。
• 在应用或网页端为广告脚本设置沙箱或严格的 CSP（Content-Security-Policy），阻止未经授权的窗口打开或跨域脚本执行。
• 提供开关或低侵入广告模式，让用户有选择地关闭弹窗类推送。

结语 经过实测和多工具日志分析，结论明确：弹窗来自蘑菇视频加载的第三方广告/推送脚本或 SDK，而不是单纯的系统病毒。对普通用户来说，最快见效的是使用广告拦截器、hosts 层面屏蔽或联系官方请求修复；对技术人员则可以通过解包资源和抓包链路确定具体广告域名并采取拦截或替换策略。